Home » Fachbeiträge » Security Management » „Nicht versicherbar“

Analyse von Ausschlüssen in der Cyber-Versicherung: „Nicht versicherbar“

Cyber-Risiken, besonders Cyber-Kriminalität, sind zu einer bedeutenden Bedrohung für die Wirtschaft geworden. Die steigende Zahl von Cyber-Angriffen und Datenschutzverletzungen verursacht immense Schäden für Unternehmen. Um sich gegen diese Risiken abzusichern, nutzen viele Unternehmen Cyber-Versicherungen als Risikomanagementinstrument.

6 Min. Lesezeit
Foto: ©REDPIXEL

Doch oft herrscht Unsicherheit hinsichtlich der Ausschlüsse in den Versicherungsbedingungen. Für diesen Beitrag wurden 41 Cyber-Versicherungsbedingungen auf Ausschlüsse analysiert, um Unternehmen Einblicke in potenzielle Versicherungslücken zu bieten. Zusätzlich wurden Interviews mit Experten aus der Versicherungsbranche geführt, um verständlich zu machen, warum bestimmte Ausschlüsse vorgenommen werden und wie die Versicherung von Schäden durch (Cyber-)Krieg verbessert werden kann.

Die Bedrohung durch Cyberkriminalität für die deutsche Wirtschaft hat sich im Jahr 2022 zu einer beunruhigenden Realität entwickelt. Laut einer Studie des Branchenverbands der deutschen Informations- und Telekommunikationsbranche Bitkom e.V. entstand ein Schaden von beeindruckenden 203 Milliarden Euro. Die kontinuierliche Anpassungsfähigkeit von Cyber-Risiken wird auch durch Quellen wie das Allianz-Risikobarometer und die laufenden europäischen Forschungsprojekte zur Verbesserung der Cybersicherheit verdeutlicht.

Angesichts dieser erschreckenden Zahlen suchen Unternehmen nach Lösungen, um sich gegen diese immer raffinierteren und vielseitigeren Cyber-Bedrohungen zu wappnen. Cyber-Versicherungen bieten sich als potenziell wertvolles Instrument für das Risikomanagement an, um die finanziellen Auswirkungen von Cyber-Angriffen zu mindern. Doch trotz des potenziellen Nutzens sind viele Unternehmen zögerlich, solche Versicherungen abzuschließen.

Eine der Hauptursachen dieser Zurückhaltung liegt in der begrenzten Wahrnehmung und dem Verständnis für die spezifischen Risiken, die mit Cyber-Angriffen verbunden sind. Die rasante Weiterentwicklung der Cyber-Bedrohungslandschaft und das Aufkommen neuer Angriffsmethoden machen es Unternehmen schwer, die potenziellen Auswirkungen und Kosten eines Cyber-Vorfalls angemessen einzuschätzen.

Zudem sorgen Bedenken hinsichtlich des versicherten Umfangs und der Ausschlüsse in den Cyber-Versicherungspolicen für Skepsis und Unsicherheit. Unternehmen befürchten, dass bestimmte Arten von Cyber-Risiken oder spezifische Schadensszenarien nicht abgedeckt sind, was ihre Fähigkeit beeinträchtigen könnte, einen Cyber-Vorfall effektiv zu bewältigen.

Selbst für Unternehmen, die bereits eine Cyber-Versicherung abgeschlossen haben, bleibt oft eine Verständnislücke aufgrund fehlender Standardisierung, was zu Unklarheiten bezüglich des Versicherungsschutzes führt. Um Licht ins Dunkel der Ausschlüsse in Cyber-Versicherungen zu bringen, wurde eine umfassende Untersuchung durchgeführt. Ein Datensatz mit 41 öffentlich zugänglichen Cyber-Versicherungsbedingungen wurde erstellt und analysiert.

Dabei lag der Fokus auf internationalen und lokalen Cyber-Versicherern, die im deutschen Markt aktiv sind und speziell Cyber-Versicherungsprodukte für kleine und mittlere Unternehmen (KMU) anbieten. Die Entscheidung, sich auf KMU zu konzentrieren, gründete auf der weit verbreiteten Verfügbarkeit öffentlicher Cyber-Versicherungsprodukte für diese Zielgruppe und ihrer Relevanz für zahlreiche Unternehmen.

Die Methodik für die Ermittlung und Analyse basierte auf dem Modell der qualitativen Inhaltsanalyse nach Mayring. Die relevanten Textpassagen wurden kodiert und sukzessive verfeinert, um schließlich die Ausschlüsse zu identifizieren. Diese Ausschlüsse wurden anschließend thematischen Kategorien zugeordnet. Zusätzlich wurden Interviews mit Cyber-Experten aus der Versicherungsbranche durchgeführt, um die Ergebnisse zu validieren und zu erweitern. Durch diesen Ansatz kann neues Wissen sowohl für die Theorie als auch für die Praxis generiert werden. Insgesamt konnten 26 Repräsentanten aus der Erstversicherung, Rückversicherung und dem Bereich der Versicherungsmakler für die Interviews gewonnen werden (Bild 1).

Bild 1: Verteilung der Interviewpartner (n = 26)

In Bezug auf die Schwerpunkte der Ausschlüsse lauteten die Fragen wie folgt:

  • Weshalb werden Schäden durch Krieg oder der Ausfall von Infrastruktur in den Cyber-Versicherungen ausgeschlossen?
  • Was sind die Probleme bei Kriegsausschlüssen in der Cyber-Versicherung?
  • Was wäre notwendig, um Schäden durch (Cyber-)Krieg zu versichern?

Was häufig ausgeschlossen wird

Insgesamt wurden 15 Ausschlusskategorien in den Cyber-Versicherungsbedingungen identifiziert (Bild 2). Zwei der am häufigsten auftretenden Ausschlüsse wurden für diesen Beitrag näher untersucht – „Krieg“ und „Ausfall von Infrastruktur“. Dabei handelt es sich um allgemeine Ausschlüsse, die womöglich durch zusätzliche kostenpflichtige Deckungserweiterungen abgedeckt werden könnten, sofern der Cyber-Versicherer diese anbietet. Zudem ist zu beachten, dass die roten Säulen in Bild 2 zwar als Ausschlüsse in den Bedingungen ermittelt worden sind, es sich jedoch um Gefahren handelt, welche generell nicht vom Cyber-Versicherer versichert werden.

Bild 2: Übersicht der identifizierten Ausschlüsse

Die Kriegsausschlussklausel erlangte aufgrund des Ukraine/Russland-Konflikts erhebliche Aufmerksamkeit. Alle untersuchten Versicherungsbedingungen enthielten einen solchen Ausschluss. Dieser umfasst Schäden, die durch Krieg, Invasion, Bürgerkrieg, Aufstand, Revolution, Aufruhr, militärische oder andere Formen von Machtergreifung verursacht werden, unabhängig von den beteiligten Umständen. Die genaue Definition von „Krieg“ ist jedoch nicht eindeutig geregelt, was Anpassungen an die digitale Welt erschwert.

Was die Experten dazu sagen

Basierend auf den Interviewergebnissen haben die Cyber-Experten erläutert, warum die Ausschlüsse für Schäden durch Krieg oder Ausfall von Infrastruktur in der Cyber-Versicherungsbranche von Bedeutung sind. Durch die mögliche Kumulierung von Schäden besteht das Risiko, dass ein Schadenereignis immense Ausmaße annimmt, die derzeit nicht genau messbar sind. Obwohl der Kriegsausschluss auch in anderen Versicherungsbereichen Anwendung findet, ist das Besondere beim Cyber-Risiko, dass es keine geografischen Grenzen kennt und dadurch praktisch überall auftreten könnte.

Ebenso wurde der Ausfall von Infrastruktur als ein weiterer wichtiger Ausschluss in der Cyber-Versicherung genannt, da die potenziellen Schadenausmaße aufgrund der Vielzahl von Risiken im Fall eines Schadens nicht genau bestimmt werden können. Diese Ausschlüsse dienen der Versicherungsbranche als wichtiges Instrument zur Kontrolle von Kumulrisiken und ermöglichen es ihnen, ihrer Verpflichtung als Versicherer gerecht zu werden.

Die befragten Experten sind der Ansicht, dass Ausschlüsse im Allgemeinen dazu dienen, die Leistungen der Versicherung zu begrenzen und eine klare Trennung zwischen der Cyber-Versicherung und anderen Versicherungssparten herzustellen. Die Trennung der Leistungen zwischen verschiedenen Versicherungsprodukten und der Cyber-Versicherung stellt jedoch derzeit eine Herausforderung dar, weil in einigen Fällen eine genaue Abgrenzung des Versicherungsschutzes schwierig ist (Silent Cyber). Die Ausschlüsse sollen sicherstellen, dass die Cyber-Versicherung für jene Cyber-Schäden einspringt, für die der Kern des Versicherungsschutzes vorgesehen ist.

Ein deutliches Problem, das von den Interviewpartnern hervorgehoben wird, ist die fehlende Definition im Zusammenhang mit dem Kriegsausschluss. Ursprünglich stammt dieser Ausschluss aus anderen Versicherungszweigen und muss nun für die digitale Welt und das spezifische Versicherungsprodukt angepasst werden. Darüber hinaus erschwert das Fehlen von Rechtsprechung die Entwicklung einer verständlichen und transparenten Ausschlussklausel, die sowohl den Anforderungen der Versicherungsbranche als auch den Interessen der Versicherungsnehmer gerecht wird.

Bei der Frage nach der Versicherung von Schäden durch (Cyber-)Krieg konnten die Interviewten lediglich grobe Vorschläge machen. Eine Möglichkeit wäre eine Einbindung des Staates über eine öffentlich-private Partnerschaft (Private-Public-Partnership) in die Versicherungslösung oder die Bildung eines spezialisierten Versicherungspools, der ausschließlich auf Cyber-Risiken fokussiert ist und mehrere Versicherer umfasst. Da die Cyber-Versicherung noch eine vergleichsweise junge Sparte ist, ist es jedoch denkbar, dass mit zunehmender Datensammlung und der Entwicklung von Mindeststandards in der Cyber-Sicherheit eine bessere Einschätzung der Cyber-Risiken möglich wird.

Fazit

Die Ergebnisse dieser Studie bieten eine umfassende Übersicht über potenzielle Versicherungs- und Schutzlücken für KMU und geben Unternehmen Einblicke, um ihre Risikomanagementstrategien zu überprüfen und zu verbessern. Cyber-Versicherer können von den Erkenntnissen lernen, um ihren Versicherungsschutz transparenter zu gestalten und die aktuellen Grenzen der Cyber-Versicherung besser zu verstehen. Es wird deutlich, dass eine gut durchdachte Cyber-Versicherung in Kombination mit einer effektiven Cyber-Sicherheitsstrategie für Unternehmen unerlässlich ist, um sich vor den wachsenden Risiken der Cyberkriminalität zu schützen. Mit der zunehmenden Datensammlung und der Entwicklung von Mindeststandards in der Cyber-Sicherheit kann eine bessere Einschätzung der Cyber-Risiken erzielt und die Cyber-Resilienz von Unternehmen gestärkt werden.

Frank Cremer, FCII, Doktorand der Kölner Forschungsstelle Rückversicherung (Leitung Prof. Stefan Materne) an der TH Köln

Prof. Dr. Michael Fortmann, LL.M., Professor am Institut für Versicherungswesen an der TH Köln, mitwirkender Professor an der Kölner Forschungsstelle Rückversicherung sowie Betreuer der Promotion von Frank Cremer.

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.